Veel organisaties maken werk van de instroom van medewerkers. Er is een onboardingproces, sóms zelfs een pre-employment screening. En ook bij doorstroom, zoals een promotie of functiewijziging, worden soms aanvullende stappen gezet. Maar opvallend genoeg is er in de praktijk zelden sprake van een gestructureerd exitbeleid. En juist dáár zien wij bij Hoffmann de laatste tijd veel incidenten ontstaan. Incidenten die voorkomen hadden kunnen worden.
Beleid voor instroom en doorstroom: een noodzakelijke basis
Hoewel steeds meer organisaties pre-employment screening toepassen, zien wij in de praktijk dat dit nog te weinig gebeurt. Ook in risicogevoelige sectoren zoals de zorg en de overheid. Zie bijvoorbeeld onze recente blogs over screening van ambtenaren en screening in de zorg. Ondanks dat de spanning op de arbeidsmarkt iets lijkt af te nemen is de druk bij veel organisaties nog steeds hoog. De neiging om dan vooral snel iemand aan te nemen, zonder gedegen achtergrondonderzoek, is begrijpelijk. Toch blijkt in veel gevallen achteraf dat een pre-employment screening veel ellende had kunnen voorkomen. Twijfels over cv’s, achtergrond of betrouwbaarheid leiden uiteindelijk tot langdurige en kostbare trajecten van onderzoek en ontslag.
Bij doorstroom is het risico minder zichtbaar, maar wel degelijk aanwezig. Wie intern promoveert, krijgt vaak toegang tot nieuwe systemen, gevoelige gegevens of extra bevoegdheden. Tegelijkertijd kunnen privéomstandigheden wijzigen, bijvoorbeeld door financiële problemen. Zonder actuele screening kunnen nieuwe risico’s ontstaan, die in de vorige functie geen rol speelden. Een doordacht screeningsbeleid en een gerichte in-employment screening bij doorstroom helpt deze risico’s vroegtijdig te signaleren.
De onderschatte fase: uitstroom zonder exitbeleid
Hoewel steeds meer organisaties investeren in een goede onboarding, zien wij dat offboarding zelden de aandacht krijgt die het verdient. Er is vaak geen vastgelegd proces. Geen checklist. Geen monitoring. Met alle risico’s van dien.
Zeker bij vertrek naar een concurrent, of bij medewerkers die voor zichzelf beginnen, ontstaan er regelmatig situaties waarbij vertrouwelijke informatie wordt meegenomen. Denk aan jaarplannen, klant- en leveranciersbestanden, offertes, specifieke knowhow of strategische documenten. Niet zelden gebeurt dit tijdens de opzegtermijn, als de medewerker formeel nog in dienst is, maar feitelijk al elders met de toekomst bezig is.
Ook zijn er gevallen waarin medewerkers met toegang tot personeelsdossiers (zoals managers of directeuren) documenten verwijderen of aanpassen. Bijvoorbeeld door concurrentie- of relatiebedingen uit hun eigen dossier te laten verdwijnen. Het risico is dan niet alleen juridisch, maar ook operationeel: bedrijfsinformatie is op dat moment onbeschermd.
De belangrijkste maatregelen voor een effectief exitbeleid
Een zorgvuldig exitbeleid begint niet pas op de laatste werkdag van een medewerker. Zodra een opzegging binnenkomt, of zodra signalen van vertrek zich aandienen, is het zaak om direct maatregelen te nemen. Wij adviseren organisaties om in ieder geval het volgende op orde te brengen:
1. Herzien van arbeidsovereenkomst en personeelsdossier
Bekijk of concurrentie-, relatie-, geheimhoudings- en antironselbedingen nog actueel en juridisch houdbaar zijn. Controleer of deze bedingen aantoonbaar zijn overeengekomen en opgenomen in het personeelsdossier. Dit is van belang voor eventuele juridische stappen bij misbruik van informatie.
2. Inventariseer en beperk toegangen waar nodig
Zorg dat u een goed overzicht heeft van alle toegangspunten: fysieke pasjes, digitale accounts, systemen en applicaties. Trek deze tijdig in. Bij voorkeur al tijdens de opzegtermijn, in overleg met HR en IT. Denk ook aan zogenaamde shadow IT: persoonlijke accounts of systemen buiten het officiële beleid om.
3. Innemen van apparatuur
Leg vast welke bedrijfsmiddelen in bezit zijn van de medewerker (zoals laptops, USB-sticks, mobiele telefoons) en zorg dat deze fysiek worden ingenomen vóór de laatste werkdag. Laat dit altijd vastleggen in een overdrachtsdocument.
4. Monitor digitaal gedrag
Installeer software die afwijkend gedrag signaleert. Denk aan het downloaden van grote hoeveelheden data, ongebruikelijke inlogtijden of toegang tot systemen die buiten de reguliere werkzaamheden vallen. Zeker in de opzegperiode kan dit van grote waarde zijn.
5. Beperk toegang via autorisatiemodellen
Zorg dat medewerkers alleen toegang hebben tot informatie die relevant is voor hun functie. Beperk deze rechten zodra een opzegging bekend is. Dit voorkomt dat gevoelige informatie wordt ingezien of gekopieerd in de laatste weken van het dienstverband.
6. Zorg voor forensic readiness
Maak uw organisatie ‘onderzoeksklaar’. Dit betekent onder meer dat systemen geschikt zijn voor digitaal feitenonderzoek, dat logging op orde is, en dat u bij een incident snel kunt achterhalen wie, wanneer, welke data heeft ingezien, gekopieerd of doorgestuurd. Zonder deze voorbereiding zijn digitale sporen vaak onvindbaar of juridisch onbruikbaar.
7. Let op situaties van blijvende betrokkenheid na vertrek
Let op bij vertrekkende medewerkers die nadien nog verbonden blijven aan de organisatie, bijvoorbeeld als extern adviseur of oud-eigenaar. Ook in deze situaties blijft gevoelige toegang bestaan. Zorg voor heldere afspraken over geheimhouding, toegang en overdracht van informatie.
Samenvattend
Een zorgvuldig exitbeleid voorkomt schade. Niet alleen op het gebied van informatiebeveiliging, maar ook juridisch en financieel. Wij zien dat veel incidenten voorkomen hadden kunnen worden als er tijdig was opgetreden. Door exitbeleid structureel op te nemen in uw HR- en securityprocessen, verkleint u de kans op datalekken, misbruik en juridische procedures aanzienlijk.
Wilt u weten hoe u dit beleid vorm kunt geven binnen uw organisatie?
Onze consultants denken graag met u mee.
